Tietoturva

Tiedote EU:n tietosuoja-asetuksesta

EU:n tietosuoja-asetus tuli voimaan 25.5.2018. Asetus velvoittaa myös pieniä yrityksiä henkilötietojen tarkempaan suojaamiseen. Tietosuoja-asetus sisältää yrityksille uusia velvoitteita ja velvoitteiden laiminlyönti on sanktioitu sakolla.

Asiakas- ja työntekijärekisteri

Tarkistakaa yrityksenne asiakasrekisteri, yritysten tietoja tämä asetus ei koske, mutta jos yritysasiakkaiden tiedoissa on yhteyshenkilöiden tietoja, ne kannattaa käydä läpi. Yleensä asiakasrekisterit eivät sisällä kovinkaan arkaluontoisia henkilötietoja, joten niiden suhteen ei todennäköisesti tarvitse tehdä isoja toimenpiteitä. Tiedot kannattaa kuitenkin käydä läpi. Ja onhan asiakasrekisterin käyttäjähallinnalla merkitystä myös liikesalaisuuksien turvallisuuden näkökulmasta.

Työntekijärekisteri sen sijaan sisältää arkaluontoista henkilötietoa. Palkanlaskennan tarpeisiin tarvitaan tietoa henkilön sairaspoissaoloista, ay-jäsenyyksistä sekä toisinaan myös ulosotosta. Myös henkilötunnusta käytetään palkanlaskennassa säännönmukaisesti.

Varsinaisen palkanlaskennan hoidamme täällä tilitoimistossa sen mukaan mitä me olemme sopineet. Olemme laatineet ns. prosessikuvauksen siitä miten vastaanotamme ja luovutamme tiedot teille, joten siltä osin asia on kunnossa. Koska asetus säätää tietojen käsittelyn loppuun asti, me joko palautamme tai hävitämme jokaisen kanssa erikseen sovittavalla tavalla palkanlaskennan aineistot, kun niitä ei enää tarvita kirjanpitolain tai muun lainsäädännön perusteella.

Jos aineisto palautetaan teille, muistakaa että tiedot, tulee säilyttää paperilla lukkojen takana tai tiedostomuodossa sellaisissa hakemistoissa, jotka on rajattu käyttöoikeuksin henkilöille, jotka tietoja työssään tarvitsevat.

Ohessa yhteenvetona ohjeet asetuksen aiheuttamista toimenpiteistä sivulla 2

Koska EU:n tietosuoja-asetuksen rikkominen on sanktioitu huomattavalla sakolla, nämä asiat kannattaa hoitaa kuntoon. Olemme perehtyneet asetuksen määräyksiin asiaankuuluvalla tavalla ja autamme teitä selviämään määräyksistä.

Käytännön toimia pk-yrityksissä

  • Arkistoi työntekijöiden lääkärintodistukset, ulosottodokumentaatio, AY-jäsenyystiedot ja vastaavat omaan mappiinsa lukkojen taakse tai sähköisessä muodossa hakemistoon, jonka käyttöoikeudet on rajattu.
  • Mieti, voiko arkaluontoiset tiedot lähettää suojaamattomassa sähköpostissa. Hyvin monet sähköpostipalvelut käyttävät jo salattua yhteyttä ja tarvittaessa löytyy ilmaisia sovelluksia sähköpostin sisällön suojaamisen. Jos sähköpostissa ei käytetä salausta, työntekijän tietojen lähettämiseen sähköpostilla tarvitaan hänen lupansa.
  • Laadi ohjeet yrityksessä käsiteltävien henkilötietojen käsittelyyn ja opasta myös yrityksesi henkilökunta. Muista arkijärki siinä, mikä on oikeasti arkaluontoista. Jos jokin asia mietityttää, kysy meiltä.
  • Meidän on tiukennettava käytäntöä siitä voivatko työntekijänne suoraan kysyä meiltä tietojaan, se on mahdollista vain, jos kysely tapahtuu niin että pystymme varmistamaan, että kysyjä on se, joka sanoo olevansa.
  • Asiakasrekisteriinne rekisteröidyillä henkilöillä, samoin kuin työntekijöillänne, on oikeus tarkastaa omat tietonsa ja korjauttaa virheet. Kannattaa jo nyt miettiä tapa, jolla kysyjä tunnistetaan ja miten tiedot annetaan. Voit kysyä meiltä apua, jos asia mietityttää.
  • Hävitä aineistot, kun ne eivät enää ole tarpeen. Palkanlaskennan aineistojen lakisääteinen säilytysaika on 6 tai 10 vuotta. Jos esimerkiksi lääkärintodistusten perusteella on haettu ja saatu KELA-korvauksia, ovat lääkärintodistukset tositteita, jotka tulee säilyttää 6 vuotta. Ne on hävitettävä säilytysvelvollisuuden umpeuduttua, koska säilytyksellä ei ole enää lakisääteistä tai muuta perustetta. Voimme myös sopia arkistointipalvelusta, jolloin säilytämme palkkahallinnon aineistot lakisääteisen ajan ja huolehdimme asetuksen mukaisesta tuhoamisesta.